Microsoft docet: la buona configurazione del cloud è fondamentale per la sicurezza

Microsoft docet: la buona configurazione del cloud è fondamentale per la sicurezza

Un caso che vede coinvolti dei server del servizio di assistenza Microsoft getta nuovamente l'attenzione sulla necessità di configurare correttamente le istanze del cloud pubblico per mantenere i dati al sicuro

di pubblicata il , alle 11:21 nel canale Public Cloud
MicrosoftAzure
 

250 milioni di casi del servizio di assistenza ai clienti di Microsoft sono stati resi pubblici con informazioni come indirizzi email, indirizzi IP e dettagli sui casi disponibili alla consultazione. Alla base di questo incidente non un problema di hacker capaci e intenzionati a oltrepassare le difese di Microsoft, ma un errore di configurazione. L'episodio risale a dicembre 2019, ma viene pubblicizzato solo ora dalla stessa Microsoft tramite un annuncio. Si tratta dell'ennesima conferma che la configurazione fa la differenza in un mondo incentrato sul cloud.

Anche Microsoft conferma suo malgrado: la configurazione nel cloud è importante

Il principale punto debole del cloud per il prossimo futuro starà negli errori di configurazione stando a Sophos. Tali errori, secondo gli esperti di sicurezza, rappresenteranno il principale ostacolo da superare con la diffusione sempre maggiore del cloud. Il caso di Microsoft rappresenta un'importante conferma a questa previsione.

Ma cos'è successo? Secondo quanto affermato da Microsoft, una cattiva configurazione delle impostazioni di sicurezza su 5 server di Azure ha lasciato le porte aperte per accedere ai dati custoditi al loro interno. Ne abbiamo già parlato in un pezzo dedicato ai 250 milioni di casi gestiti dall'assistenza ai clienti finiti online. L'aspetto interessante sta non tanto nell'incidente in sé, che sembra non aver avuto alcun risvolto negativo al momento in cui questo pezzo viene scritto, ma nel come questo incidente sia avvenuto.

Il cloud mette a disposizione una grande potenza di calcolo, una scalabilità pressoché illimitata e una flessibilità - elementi impossibili da ottenere con le infrastrutture aziendali classiche. Come amava dire Stan Lee, però, "a un grande potere corrispondono grandi responsabilità", e nel caso del cloud questa responsabilità ricade sulle spalle di chi si occupa della configurazione delle istanze. I fornitori di cloud pubblico mettono a disposizione strumenti avanzati per proteggere le proprie istanze, ma per via della natura stessa del cloud non è sempre facile utilizzare questi strumenti correttamente e mantenere una corretta visibilità del proprio ambiente: un fatto che può portare a configurazioni errate con conseguenti incidenti di sicurezza.

È per questo che è fondamentale implementare politiche che prevedano revisioni costanti e continue della situazione, nonché l'impiego di strumenti che consentano di individurare eventuali problemi di configurazione il prima possibile, così da evitare incidenti di sicurezza.

Regole che valgono anche per un colosso come Microsoft, che ha infatti affermato di aver cambiato le proprie pratiche interne per includere controlli più frequenti e approfonditi. Tutto è bene quel che finisce bene, ma l'attenzione alla configurazione deve diventare uno dei mantra del nuovo decennio per chi si occupa di cloud. Senza "se" e senza "ma".

7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
cignox124 Gennaio 2020, 11:46 #1
Il progetto Shuttle é costato una marea di soldi, eppure ci sono stati ben 2 incidenti gravissimi.

É mia opinione che quando i sistemi diventano troppo complessi, queste cose sono inevitabili. Lo diceva Ian Malcom 25 anni fa, ma allora non capivo cosa intendesse.
E figuriamoci se non capitano in contesti dove la gara sui prezzi é cosí pressante...
Feidar24 Gennaio 2020, 12:03 #2
Originariamente inviato da: cignox1
Il progetto Shuttle é costato una marea di soldi, eppure ci sono stati ben 2 incidenti gravissimi.

É mia opinione che quando i sistemi diventano troppo complessi, queste cose sono inevitabili. Lo diceva Ian Malcom 25 anni fa, ma allora non capivo cosa intendesse.
E figuriamoci se non capitano in contesti dove la gara sui prezzi é cosí pressante...


Non è questione di complessità, ma di buona creanza: se un reparto IT è fatto da incompetenti e/o non sa come funziona la sicurezza nel cloud (tra Conditional Access Management, Network Security Group e tante altre cosucce che molti ignorano), fanno danni anche in locale anche usando Cisco, Fortinet, Sophos e Unifi...

Non ne sono sconvolto, non ne sono sorpreso: l'utonto è anche nel reparto IT, purtroppo.
cignox124 Gennaio 2020, 12:30 #3
>>Non è questione di complessità, ma di buona creanza: se un reparto IT è fatto da incompetenti e/o non sa come funziona la sicurezza nel cloud

É proprio questo il punto: al crescere della complessitá il livello di competenza richiesta diventa sempre piú alta fino ad arrivare al punto che é inevitabile quella che tu chiami "incompetenza".
O pensi che incidenti ed errori sono da attribuire solo agli stupidi ed incompetenti?

Puoi "sperare" o "pretendere" quanto vuoi che le persone addette a certi sistemi siano "competenti", sempre e comunque. Ma tanto non sará cosí. E lo sará sempre meno piú questi sistemi diventeranno complicati.

Basta vedere quante "vittime" l'aviazione ha dovuto vedere per arrivare all'attuale livello di sicurezza... e mica erano tutti e sempre incompetenti: spesso, semplicemente, i sistemi erano troppo complessi.
WarDuck24 Gennaio 2020, 13:10 #4
La verità è che non tutti sono paranoici al livello richiesto. Forzare procedure anche noiose non piace a tutti, eppure ci sono dei casi in cui essere paranoici dev'essere un requisito.

In ambito security non si è mai abbastanza paranoici.

Dopodiché sono d'accordo che tanto più un sistema è complesso e tanto più è difficile da proteggere perché la superficie d'attacco aumenta e gli errori di configurazione possono essere più frequenti.
Feidar24 Gennaio 2020, 13:15 #5
Originariamente inviato da: cignox1
>>Non è questione di complessità, ma di buona creanza: se un reparto IT è fatto da incompetenti e/o non sa come funziona la sicurezza nel cloud

É proprio questo il punto: al crescere della complessitá il livello di competenza richiesta diventa sempre piú alta fino ad arrivare al punto che é inevitabile quella che tu chiami "incompetenza".
O pensi che incidenti ed errori sono da attribuire solo agli stupidi ed incompetenti?

Puoi "sperare" o "pretendere" quanto vuoi che le persone addette a certi sistemi siano "competenti", sempre e comunque. Ma tanto non sará cosí. E lo sará sempre meno piú questi sistemi diventeranno complicati.

Basta vedere quante "vittime" l'aviazione ha dovuto vedere per arrivare all'attuale livello di sicurezza... e mica erano tutti e sempre incompetenti: spesso, semplicemente, i sistemi erano troppo complessi.


Forse non mi son spiegato bene: non è complesso, è diverso. Anzi, ci sono molte meno cose da mettere in conto rispetto ad una classica configurazione on-prem.

Per cortesia, non mettiamo disinformazione...
cignox124 Gennaio 2020, 16:23 #6
>>Forse non mi son spiegato bene: non è complesso, è diverso. Anzi, ci sono molte meno cose da mettere in conto rispetto ad una classica configurazione on-prem.

Guarda che mica mi riferivo ad Azure in particolare (che neppure conosco) ma a molti sistemi informatici che usiamo oggigiorno. Se anche Azure fosse il piú semplice di tutti, il discorso non cambia di una virgola: la complessitá di molti sistemi informatici di oggi rende assai probabili questi (ed altri) problemi.

Ecco spiegato perché dove errori davvero non possono essere accettati, le risorse in gioco per l'analisi, la documentazione, il test, l'accessibilitá etc sono uno o piú ordini di grandezza superiori... e ancora la perfezione non la si raggiunge.
Feidar27 Gennaio 2020, 03:38 #7
Originariamente inviato da: cignox1
>>Forse non mi son spiegato bene: non è complesso, è diverso. Anzi, ci sono molte meno cose da mettere in conto rispetto ad una classica configurazione on-prem.

Guarda che mica mi riferivo ad Azure in particolare (che neppure conosco) ma a molti sistemi informatici che usiamo oggigiorno. Se anche Azure fosse il piú semplice di tutti, il discorso non cambia di una virgola: la complessitá di molti sistemi informatici di oggi rende assai probabili questi (ed altri) problemi.

Ecco spiegato perché dove errori davvero non possono essere accettati, le risorse in gioco per l'analisi, la documentazione, il test, l'accessibilitá etc sono uno o piú ordini di grandezza superiori... e ancora la perfezione non la si raggiunge.


Domanda scema: ci lavori?
Giusto per capire se si può tirare fuori qualche termine tecnico o meno

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^